# Cyber Kill Chain

La [**Cyber Kill Chain**, desarrollada por Lockheed Martin](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html), es un marco que ilustra las etapas secuenciales en un ciberataque. Este concepto se ha generalizado en la comunidad de seguridad cibernética para entender y defender contra amenazas avanzadas, descomponiendo la estructura del ataque en fases discernibles. Este capítulo profundiza en cada etapa, proporcionando un marco técnico y estratégico para comprender las tácticas, técnicas y procedimientos (TTP) de los ciberadversarios.

<figure><img src="https://1580805812-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FzDuZE3U19tNNqSAmcpyE%2Fuploads%2FwTi3fvkg1HvyWOcvKGhE%2Fimage.png?alt=media&#x26;token=85742a89-7122-476c-a082-0155cca071ce" alt=""><figcaption></figcaption></figure>

## <mark style="color:red;">**Fase 1: Reconocimiento**</mark>

* <mark style="color:red;">**Definición:**</mark> Identificación de objetivos, recolección de información pública y privada, y desarrollo de inteligencia para planificar futuros ataques.
* <mark style="color:red;">**Ejemplo técnico:**</mark> Atacantes pueden emplear "scraping" en redes sociales y herramientas de OSINT (Inteligencia de Fuentes Abiertas) para recolectar datos sobre sus objetivos.

## <mark style="color:red;">**Fase 2: Desarrollo de Armas**</mark>

* <mark style="color:red;">**Definición:**</mark> Creación de un vector de ataque y producción de malware o herramientas adaptadas para explotar vulnerabilidades conocidas o desconocidas (zero-days).
* <mark style="color:red;">**Ejemplo técnico:**</mark> Creación de un documento malicioso utilizando exploits para vulnerabilidades específicas de un software ampliamente utilizado.

## <mark style="color:red;">**Fase 3: Entrega**</mark>

* <mark style="color:red;">**Definición:**</mark> Implementación del vector de ataque, asegurando que el malware o la herramienta llegue al usuario o sistema objetivo.
* <mark style="color:red;">**Ejemplo técnico:**</mark> Campañas de phishing que utilizan ingeniería social para persuadir a los usuarios de ejecutar el payload malicioso.

## <mark style="color:red;">**Fase 4: Explotación**</mark>

* <mark style="color:red;">**Definición:**</mark> Utilización de vulnerabilidades dentro del sistema objetivo para ejecutar código malicioso.
* <mark style="color:red;">**Ejemplo técnico:**</mark> Explotar una vulnerabilidad en un navegador para ejecutar un shellcode.

## <mark style="color:red;">**Fase 5: Instalación**</mark>

* <mark style="color:red;">**Definición:**</mark> Establecimiento de una presencia sostenida en el sistema objetivo, instalando malwares adicionales o backdoors.
* <mark style="color:red;">**Ejemplo técnico:**</mark> Despliegue de un RAT (Remote Access Trojan) para obtener control continuo sobre el sistema.

## <mark style="color:red;">**Fase 6: Comando y Control (C2)**</mark>

* <mark style="color:red;">**Definición:**</mark> Establecimiento de un canal de comunicación encubierto entre el malware y el adversario para guiar acciones posteriores en el sistema infectado.
* <mark style="color:red;">**Ejemplo técnico:**</mark> Utilización de protocolos comunes y legítimos, como HTTP/HTTPS, para camuflar el tráfico de C2.

## <mark style="color:red;">**Fase 7: Acciones sobre Objetivos**</mark>

* <mark style="color:red;">**Definición:**</mark> Ejecución de la finalidad del ataque, que puede incluir espionaje, destrucción de datos, o la disrupción de procesos y servicios.
* <mark style="color:red;">**Ejemplo técnico:**</mark> Ransomware que cifra datos críticos y demanda un rescate para su recuperación.

## <mark style="color:red;">**Contramedidas y Defensas Estratégicas**</mark>

Es imperativo que cada fase de la Cyber Kill Chain sea comprendida no solo en términos de ofensiva sino también desde una perspectiva defensiva. Las estrategias y soluciones de seguridad deben ser implementadas en cada etapa para detectar, prevenir y mitigar los ataques.

* <mark style="color:red;">**Reconocimiento:**</mark> Implementar políticas de privacidad y entrenamiento de concienciación de seguridad para limitar la exposición de información.
* <mark style="color:red;">**Desarrollo de Armas a Comando y Control:**</mark> Utilizar soluciones de seguridad endpoint, actualizar y parchear sistemas regularmente, y emplear medidas de seguridad de red como IDS/IPS para detectar anomalías.
* <mark style="color:red;">**Acciones sobre Objetivos:**</mark> Implementar copias de seguridad regulares, soluciones anti-ransomware, y estrategias de recuperación ante desastres para mitigar el impacto de los ataques.